Forum. MyNuke.ru
Forum. MyNuke.ruСообщения за сегодняПерсональные сообщения

Навигация  
Вернуться   Forum. MyNuke.ru > PHP-NUKE > Безопасность > Уязвимости Защиты
Ник
Пароль
Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Soniks вне форума      Старый phpBB XSS Admin SID #1  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
04.02.2006, 04:26

Продукт: phpbb

Версия: 2.0.19 (и ниже)

Уровень: Средний

Описание: Найдено несколько уязвимостей в форуме phpbb. Первая из них это отсутствует проверки на длину названия картинки загружаемого с другого сайта аватора, что позволяет произвести xss нападение подгружаемого аватора, ну это не единственая уязвимость такого рода.
Вторая уязвимость, это отсутствие обработка добавляемого смайла в админ панели форума. Поэтому, заполучив id сессию админа злоумышленник легко выполнит XSS и не только, может спокойно удалить форума и сообщения. Данная уязвимость не страшна форуму phpbb интегрированному в php-nuke.

Устранение:
Первое наперво (что уже давно должно было выполнено) в настройках форума: Разрешить удаленных аватар напротив ставим Нет
На время, пока не устранят данную уязвимость team группа phpbb, запрещаем вывод в URL id сессии, если еще не запрещено.
В файле config.php добавляем строчку перед ?> добавляем
PHP код:
 ini_set("session.use_cookies"1); 
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Ответ


Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB-коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Небольшая уязвимость user level phpBB 2.0.13 Soniks Уязвимости Защиты 1 13.06.2008 22:16
Скрещиваем php-nuke и форум phpbb 2 plus ssmol Настройка и Изменение 30 02.04.2008 18:19
Обновляем форум phpBB 2.0.11 до 2.0.12 Soniks Безопасность 38 23.06.2005 23:18
Обновляем форум phpBB 2.0.14 до 2.0.15 BriaN Безопасность 2 22.05.2005 23:17
Обновляем форум phpBB 2.0.13 до 2.0.14 Soniks Безопасность 2 16.04.2005 18:27


Часовой пояс GMT +4, время: 21:31.


На Верх
Рейтинг@Mail.ru